AP-Logo23
AP-Logo23
AP-Logo23

[APWeb 1023] Gestión de Datos Personales: ¿Cuáles son las obligaciones de los Proveedores?

Dati Personali
Únete a Assoprovider
¡Ayúdanos a Ayudarte!
Presentación Assoprovider
¡Lee nuestra Historia!
Lee OpenTLC
Italiano-Español
Escucha los Podcasts
¡Nuestras Batallas!
AssoTG
Las NEWS digitales
Canal de Youtube
Made in LabTV
Lee este artículo también en: 🇮🇹 Italiano🇬🇧 Inglés

Nuevo Webinar de Assoprovider para los asociados: con los abogados Elisabetta y Vincenzo Gallotto discutimos las Obligaciones de los Proveedores en la Gestión de Datos Personales.

Código de Privacidad, GDPR, Código Europeo de Comunicaciones Electrónicas: son numerosas las leyes italianas y comunitarias que regulan la gestión de los datos personales de los usuarios en línea.

¿Cómo orientarse? 

Lo hemos discutido en el nuevo seminario web de la asociación de proveedores de internet independientes, con los abogados Elisabetta y Vincenzo Gallotto del estudio legal Gallotto.

Introduce los trabajos y modera el evento el vicepresidente de Assoprovider, Marcello Cama.

Hay espacio, en conclusión, para actualizaciones sobre la batalla de la asociación sobre la ley antipiratería.

Puede revisar la grabación completa del seminario web en el canal oficial de Assoprovider en YouTube:

La gestión de los datos personales en el mercado de las comunicaciones electrónicas

Inaugura las intervenciones del día el abogado Vincenzo Gallotto, quien se detiene en los aspectos prácticos, para los ISP, en la gestión y el tratamiento de los datos personales.

En 2018 entró en vigor el reglamento 2016/679 que cambió el enfoque respecto al tratamiento de los datos personales, de estático a dinámico, basado en el principio del llamado responsabilidad.

En esencia, el reglamento nos dice que ya no es la normativa la que nos indica qué hacer, como proveedores, en la gestión de los datos personales. Es, en cambio, el sujeto encargado de tratar los datos, en función del tipo de actividad que lleva a cabo, quien debe implementar una serie de medidas técnicas y organizativas capaces de tratar el dato de manera adecuada.

Este enfoque ha llevado a la identificación de la implementación de un modelo de privacidad, que cada operador debe elaborar para garantizar que el tratamiento se realice en cumplimiento de la normativa de privacidad.

El riesgo de una violación de datos debe reducirse al mínimo posible, en caso de que no sea posible eliminarlo por completo.

El recorrido comienza desde un evaluación preliminar: en esta fase, el titular del tratamiento realiza una verificación preliminar de los datos tratados, identificando los fines para los cuales se llevan a cabo y las modalidades del tratamiento..

En este punto, el operador debe identificar una serie de procedimientos y medidas de seguridad, orientados a la correcta gestión del dato. Procesos que el personal interno de la estructura deberá seguir para limitar el riesgo de violaciones.

Aquí se vuelve esencial también la actividad de formación de los empleados sobre este tipo de dinámicas.

¿Cuáles son las actividades a implementar concretamente?

  • Preparación del registro de tratamientos, que tiene una doble función: identificar todos los tratamientos de datos realizados en la empresa por el titular y aquellos realizados en calidad de responsable del tratamiento. Entre otras obligaciones, es importante recordar conservar, en el registro, los datos de tráfico telefónico y telemático para fines administrativos.
  • Suscripción de acuerdos con eventuales responsables del tratamiento (sociedades, sujetos y personas jurídicas que tratan los datos por cuenta del titular del tratamiento). En el caso del ISP, el responsable del tratamiento podría ser el proveedor de un servicio mayorista.
  • Identificación de los sujetos internos a la empresa, autorizados para el tratamiento de datos y la formación correspondiente.

Es importante detenerse en el registro de los tratamientos. De hecho, es el primer documento que, en caso de verificación, se solicitado por el Garante de Privacidad. Este último, al realizar una verificación sobre un operador, se centrará seguramente en dos elementos: además del registro de los tratamientos y su actualización, el enfoque se centrará en la presencia, o no, del DPO (Responsable de Protección de Datos).

Queda la duda de si un operador está efectivamente obligado a nombrar un DPO. Sobre este punto, el abogado Vincenzo Gallotto comenta:

«Mi consejo para los operadores es: si pueden, identifiquen y nombren la figura del DPO en la empresa. Si, por alguna razón, esto no fuera posible, es necesario prepararse para documentar, en caso de una eventual verificación del Garante, las razones por las cuales no se ha realizado este nombramiento.».

El Modelo Organizativo de Privacidad en la práctica

Con la abogada Elisabetta Gallotto, pasamos ahora a los aspectos prácticos para cumplir con el principio de responsabilidad introducido por el colega.

Se comienza primero con una definición del Modelo Organizativo de Privacidad (MOP). Este último representa una herramienta práctica específica, que permite al Responsable del tratamiento la elección y gestión responsable y autónoma de las obligaciones en materia de protección de datos personales.

En esencia, establece de manera ordenada y estructurada los procedimientos, las medidas, los documentos y las reglas para la correcta gestión de los datos personales en una organización empresarial.

Es, por lo tanto, una herramienta de ayuda importante, en caso de inspecciones por parte del Garante, para demostrar así su conformidad con el GDPR, pero también para realizar verificaciones que puedan provenir de clientes terceros titulares.

En la práctica, los pasos a seguir por parte del responsable del tratamiento para crear un modelo de privacidad eficaz y conforme a la ley son:

  • Identificar el riesgo asociado al tratamiento;
  • Asegurar la actividad de tratamiento de datos;
  • Implementar medidas técnicas y organizativas adecuadas para garantizar que el tratamiento se realice de conformidad con el GDPR;
  • Emitir la información a los interesados (clientes, empleados, usuarios del sitio web, etc.);
  • Atender al ejercicio de los derechos del interesado;
  • Nombrar al responsable del tratamiento de datos;
  • Vigilar sobre el cumplimiento del contrato de designación del Responsable del tratamiento de datos.

Es importante comprender, explica el abogado, que no existe un modelo precompilado de dicho Modelo, ya que debe adaptarse a la estructura específica de cada empresa.

Para estructurar el MOP es necesario tener en cuenta de hecho:

  • de la naturaleza del tratamiento;
  • del contexto del tratamiento;
  • de la finalidad del tratamiento;
  • de los riesgos con probabilidades y gravedad diferentes para los derechos y libertades de las personas físicas;
  • del estado del arte y de los costos de implementación de las medidas adecuadas para la protección de los datos personales, así como del alcance del tratamiento.

Aunque, como se ha dicho, no es posible estandarizar la redacción del Manual, es posible identificar elementos mínimos en su interior, como: 

  • un manual operativo general (con las disposiciones normativas, el organigrama de privacidad empresarial, los tipos y las descripciones de los tratamientos, etc.); 
  • las procedimientos específicos implementar, por ejemplo, para la evaluación del riesgo, para el impacto de los tratamientos previstos (DPIA), para la gestión de las solicitudes por parte de los interesados y de las autoridades, en caso de violación de datos y así sucesivamente; 
  • i documentos, los actos y los modelos a utilizar para mapear los tratamientos, designar e instruir a los responsables del tratamiento, designar e instruir a los terceros y así sucesivamente; 
  • las informativas sobre los tratamientos de los datos que deben ponerse a disposición de las diferentes categorías (clientes, empleados, proveedores, usuarios del sitio web, candidatos, visitantes, etc.).

Es esencial, especifica el abogado, que «el Modelo sea dado a conocer a todos los sujetos que, a diversos títulos, están involucrados en las actividades de tratamiento de datos personales. Especialmente con referencia a los procedimientos a adoptar en casos específicos. Pensemos, por ejemplo, en el caso de un incidente de seguridad, en tal ocasión deben estar claras las respuestas a preguntas como ‘¿A quién debo dirigirme?', ‘¿Cuál es la estructura de referencia?' y así sucesivamente».

La parte conclusiva de la intervención se refiere a las sanciones que, recuerda el abogado, son de dos niveles:

  • Primer nivel que se refiere a las empresas hasta el 2% de la facturación mundial anual del ejercicio anterior. Sanciones pecuniarias de hasta 10.000.000€.
  • Segundo nivel que se refiere a las empresas hasta el 4% de la facturación mundial anual del ejercicio anterior. Sanciones pecuniarias hasta 20.000.000€.

Ley Antipiratería, continúa la batalla de Assoprovider

En conclusión, los vicepresidentes de Assoprovider Antonella Oliviero y Marcello Cama recuerdan cómo continúa la discusión sobre la ley antipiratería y el llamado decreto Caivano, normas sobre las cuales Assoprovider ya ha presentado recurso.

La última actualización por el momento es que las enmiendas presentadas anteriormente al decreto Caivano han sido sustituidas por una sub-enmienda. Esta última debería establecer, dentro de los 30 días a partir de la fecha de entrada en vigor de la ley, una nueva mesa técnica AgCom, con la participación de prestadores de servicios, proveedores de acceso a la red Internet, titulares de derechos, proveedores de contenidos y así sucesivamente. Posteriormente, dentro de los tres meses desde la convocatoria de la mesa técnica, se realizará y se pondrá en funcionamiento una plataforma para la implementación de los bloqueos a los contenidos en violación.

El vicepresidente Cama recuerda finalmente que el TAR ha acogido en menos de 24 horas una primera instancia presentada por la asociación sobre las normas antipiratería.

Vistas de la publicación: 2,640

Últimas Publicaciones

Altri contenuti correlati